حالة التنفيذ
- حالة النظام الأساسي Chrome.
- في مرحلة التجربة والتقييم، الإصدار 84 إلى 101 من Chrome: مغلق الآن.
- العرض التوضيحي:
- دمج أدوات مطوّري البرامج في Chrome:
ما هي الرموز المميّزة للحالة الخاصة؟
تتيح الرموز المميّزة للحالة الخاصة نقل الثقة في مصداقية المستخدم من سياق إلى آخر، وذلك لمساعدة المواقع الإلكترونية في مكافحة الاحتيال وفي التمييز بين برامج التتبُّع والبشر الحقيقيين بدون التتبُّع السلبي.
- يمكن للمواقع الإلكترونية من جهة الإصدار إصدار رموز مميزة لمتصفّح الويب الخاص بالمستخدم الذي يُظهر أنّه جدير بالثقة، على سبيل المثال من خلال مواصلة استخدام الحساب أو إكمال معاملة أو الحصول على نتيجة ReCAPTCHA مقبولة.
- يمكن للموقع الإلكتروني الخاص بأداة تحصيل القيمة التأكّد من أنّ المستخدم ليس مزيفًا من خلال التحقق ممّا إذا كان لديه رموز مميزة من جهة إصدار يثق بها، ثم تحصيل قيمة الرموز المميّزة حسب الضرورة.
وتكون الرموز المميّزة للحالة الخاصة مشفّرة، لذا لا يمكن تحديد هوية شخص أو ربط الأجهزة الافتراضية الموثوق بها وغير الموثوق بها لاكتشاف هوية المستخدم.
لماذا نحتاج إلى الرموز المميّزة للحالة الخاصة؟
يحتاج الويب إلى طرق لإنشاء إشارات الثقة ونقلها، ما يوضّح هوية المستخدم، وليس برنامج تتبُّع ويتظاهر بأنّه إنسان أو طرف ثالث ضار يحتال على شخص أو خدمة حقيقية. تُعدّ الحماية من الاحتيال ذات أهمية خاصة للمعلنين ومزوّدي الإعلانات وشبكات توصيل المحتوى (CDN).
ولسوء الحظ، هناك العديد من الآليات الحالية لقياس مدى الموثوقية ونشرها، مثل معرفة ما إذا كان التفاعل مع الموقع الإلكتروني من شخص حقيقي، مثل الاستفادة من الأساليب التي يمكن استخدامها أيضًا للبصمات الرقمية. إنّ آليات نقل الثقة يجب أن تحافظ على الخصوصية، ما يتيح نشر الثقة على المواقع الإلكترونية بدون تتبُّع فردي من المستخدم.
باستخدام واجهة برمجة التطبيقات Private State Token API، يمكن للمواقع الإلكترونية إصدار رموز مميّزة مشفّرة لمستخدم يثق به، ويمكن استخدامها لاحقًا في مكان آخر. يتم تخزين الرموز المميّزة بشكل آمن من خلال متصفّح المستخدم، ويمكن بعد ذلك استردادها في سياقات أخرى لتأكيد مصادقة المستخدم. ويتيح ذلك نقل ثقة المستخدم على أحد المواقع الإلكترونية (مثل أحد مواقع التواصل الاجتماعي أو خدمة البريد الإلكتروني) إلى موقع إلكتروني آخر (مثل ناشر أو متجر على الإنترنت) بدون تحديد هوية المستخدم أو ربط الهويات على مختلف المواقع الإلكترونية.
كيف تعمل الرموز المميّزة للحالة الخاصة؟
في هذا المثال، يريد أحد المواقع الإلكترونية الخاصة بالناشر التحقق مما إذا كان المستخدم إنسانًا حقيقيًا وليس برنامج تتبُّع، وذلك قبل عرض إعلان.
- يزور أحد المستخدمين موقعًا إلكترونيًا (يُعرَف باسم جهة الإصدار) وينفّذ إجراءات تقود الموقع إلى الاعتقاد بأنّ هذا المستخدم شخص حقيقي، مثل إجراء عمليات شراء أو استخدام حساب بريد إلكتروني أو إكمال اختبار reCAPTCHA بنجاح.
- يستخدم الموقع الإلكتروني لجهة الإصدار واجهة برمجة تطبيقات JavaScript للرمز الخاص للحالة الخاصة لتشغيل طلب الرموز المميّزة للثقة لمتصفّح المستخدم.
- يستجيب الموقع الإلكتروني لجهة الإصدار ببيانات الرمز المميّز.
- يخزِّن متصفّح المستخدم البيانات بأمان للرمز المميّز للثقة.
- يزور المستخدم موقعًا إلكترونيًا مختلفًا (مثل ناشر أخبار) يريد التأكّد مما إذا كان المستخدم شخصًا حقيقيًا، على سبيل المثال، عند عرض الإعلانات.
- يستخدم الموقع الإلكتروني واجهة برمجة التطبيقات للرموز المميّزة للحالة الخاصة للتحقّق مما إذا كان متصفّح المستخدم يحتوي على رموز مميزة للثقة تم تخزينها للمُصدِرين الذين يثق بهم الموقع الإلكتروني.
- يتم العثور على الرموز المميّزة للحالة الخاصة لجهة الإصدار التي زارها المستخدم سابقًا.
- يقدّم الموقع الإلكتروني للناشر طلبًا إلى جهة الإصدار لاسترداد رموز الثقة.
- ويردّ موقع جهة الإصدار بسجلّ تحصيل القيمة.
- يقدّم الموقع الإلكتروني للناشر طلبًا إلى إحدى المنصات الإعلانية، بما في ذلك "سجلّ تحصيل القيمة" لإثبات أنّ المستخدم موثوق به من قِبل جهة الإصدار باعتباره شخصًا حقيقيًا.
- توفّر منصّة عرض الإعلانات البيانات المطلوبة لعرض إعلان.
- ويعرض موقع الناشر الإعلان.
- يتم احتساب مرة ظهور لمشاهدة الإعلان.
هل الأدوات متاحة للرموز المميّزة للحالة الخاصة؟
يفعِّل "أدوات مطوري البرامج في Chrome" الفحص من علامتَي التبويب "الشبكة" و"التطبيق". يمكنك الاطّلاع على مزيد من المعلومات حول دمج أدوات مطوّري البرامج والرموز المميّزة للحالة الخاصة.
كيف تتعامل المواقع الإلكترونية مع الرموز المميّزة من عدّة جهات إصدار موثوق بها؟
يمكن للموقع الإلكتروني التحقّق من متصفّح المستخدم بحثًا عن رموز مميزة صالحة مع
document.hasTrustToken() لجهة إصدار واحدة في كل مرة. إذا عرض هذا الرمز true وكان هناك رمز مميّز، يمكن للموقع الإلكتروني تحصيل قيمة الرمز المميز والتوقّف عن البحث عن
رموز مميزة أخرى.
يجب أن يحدّد الموقع الإلكتروني جهات إصدار الرموز المميّزة التي يجب التحقّق منها وترتيبها.
حالات الاستخدام
تتوافق الرموز المميّزة للحالة الخاصة (PST) مع مجموعة من حالات الاستخدام المتعلّقة بمكافحة الاحتيال. في الأساس، يمكن أن يكون ملف PST بمثابة إشارة ثقة إضافية لأن واجهة برمجة التطبيقات تكون قادرة على ترميز أجزاء من المعلومات التي يمكن أن تساعد في نقل الثقة من سياق إلى آخر. عندما تختفي ملفات تعريف الارتباط التابعة لجهات خارجية، ندرك أنّه من الضروري التأكّد من أنّ حالات الاستخدام مثل ما يلي لا تزال تعمل حسب الحاجة. تتطلّب جميع حالات الاستخدام في منطقة المحيط الهادئ من جهة الإصدار وجهات تحصيل القيمة أن تعمل معًا. يمكنك مراعاة توقيت المحيط الهادئ إذا كانت لديك حالات استخدام مشابهة لأي مما يلي:
- خدمات مكافحة الاحتيال: يعتبر منع الاحتيال أحد حالات الاستخدام المشروعة التي ينبغي على الويب إتاحة استخدامها، ولكن يجب ألا يشترط ذلك معرّفًا ثابتًا وعالميًا لكل مستخدم. في السياقات التابعة لجهات خارجية، يمكن استخدام PST لتقسيم المستخدمين إلى مجموعات موثوق بها وغير موثوق بها.
- تحليل الاحتيال الإعلاني: يمكن أن يكون ملف PST مفيدًا لتحليل النقرات ومرات الظهور ومخططات برامج التتبُّع في خدمات تكنولوجيا الإعلانات.
- اكتشاف برامج التتبُّع: بعد إجراء تحليل لمعرفة ما إذا كان المتصفِّح برنامج تتبُّع أم لا، يمكن أن يساعد ملف PST في ترميز هذه المعلومات لمشاركتها من سياق إلى آخر.
- الدفعات الآمنة: يمكن استخدام توقيت المحيط الهادئ كإشارة إضافية لنقل الثقة إلى التهديدات التي يصعُب رصدها في سياق تابع لجهة خارجية من خلال معلومات محدودة (مثل البطاقات).
- خدمات مكافحة إساءة الاستخدام في التجارة الإلكترونية: من المهم جدًا رصد برامج التتبُّع في تفاعلات التجارة الإلكترونية (النقرات وعمليات الدفع وعمليات الشراء وتقييمات المنتجات وبرامج الدردشة المبرمَجة والمرتجعات) لتجنُّب سرقة الصفحات والتفاعلات غير البشرية. وقد تكون هذه إشارة إضافية مهمة لرصد الوكلاء الآليين لمقدّمي خدمات مكافحة الاحتيال التابعين لجهات خارجية في منصات التجارة الإلكترونية.
- خدمات شبكة توصيل المحتوى (CDN): توفّر PST آلية للمساعدة في الإبلاغ عن الزيارات الاحتيالية ورصدها.
إنّ قائمة حالات الاستخدام هذه ليست قائمة شاملة بجميع إمكانيات مكافحة الاحتيال التي يمكن أن تستفيد من الرموز المميّزة للحالة الخاصة. والقائمة ليست حصرية، إذ قد يستفيد برنامج PST من عدة عمليات سير عمل لمكافحة الاحتيال.
رحلات المستخدم
يُعدّ الإصدار وتحصيل القيمة من العناصر الرئيسية للرموز المميّزة للحالة الخاصة. في حين أنّ حالات الاستخدام السابقة هي المجالات الرئيسية التي يمكن استخدام ملفات PST، يمكنك التفكير في اللحظات التالية في رحلات مستخدم معيّنة باعتبارها الحالات التي تريد فيها إصدار رموز مميزة أو تحصيل قيمتها:
- إصدار الرموز المميزة أثناء تدفقات إدارة الحساب (تسجيل الدخول، والاشتراك، وإعادة ضبط كلمة المرور، وما إلى ذلك)
- إصدار الرموز المميّزة بعد تأكيد المصادقة المتعدّدة العوامل (MFA)
- إصدار الرموز المميّزة بعد تنفيذ إجراءات عالية الخطورة، مثل حذف سجلّ الدفعات
- تحصيل قيمة الرموز المميّزة للتأكيد على عدة مواقع إلكترونية قبل الإشراف على إجراءات المخاطرة
- تحصيل قيمة الرموز المميّزة للتأكيد على عدة مواقع إلكترونية قبل اتخاذ الإجراءات العالية الخطورة
التفاعل مع الملاحظات ومشاركتها
- فترة التجربة والتقييم: مغلقة الآن
- العرض التوضيحي: انتهت مرحلة التجربة والتقييم في Trust Tokens، ولكن لا يزال بإمكانك الاطّلاع على العرض التوضيحي.
- GitHub: يمكنك قراءة الاقتراح وطرح الأسئلة ومتابعة المناقشة.
- W3C: مناقشة حالات الاستخدام في المجال من خلال تحسين مجموعة الأنشطة التجارية للإعلانات على الويب
- فريق عمل مهندسي شبكة الإنترنت (IETF): يتم تقديم البيانات الفنية للبروتوكول الأساسي في مجموعة عمل IETF Privacy Pass مجموعة عمل.
- فريق دعم المطوّرين: يمكنك طرح الأسئلة والانضمام إلى المناقشات من خلال مستودع دعم المطوّرين في "مبادرة حماية الخصوصية".
- أسئلة مرحلة التجربة والتقييم: يمكنك الإبلاغ عن خطأ في Chromium أو الردّ على نموذج الملاحظات الذي تم إرساله إليك بصفتك مشاركًا في مرحلة التجربة والتقييم.